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La presente invention conceme im precede et un systeme d' accreditation d'un 
client ponr Faccfes a un reseau de telecommunication permettant au client d'acceder a 
des services foumis pai* des foiimisseurs de services. 

LMnvention se situe dans le domaine de Taccreditation de clients d^sirant 
5 s'abonner a des services d6Uvr6s par des fonmisseurs de services dans un r&eau de 
telecommunication tel que par exemple le reseau Internet et cela par Vinterm^diaire de 
liaisons point a point avec un multiplexeur num^rique de lignes de clients, Ces 
liaisons sont par exemple des liaisons de type DSL. DSL est Tacronyme de « Digital 
Sub!5criber Line », Ces liaisons peuvent aussi etre des liaisons sans fil ou des liaisons 
10 par fibres opttques entre chaque client et le multiplexeur numerique de lignes de 
clients aiixquels les clients sont relies. 

Dans les systemes classiques d'acces a Tlntemet utilisant des liaisons par 
exemple de type DSL, chaque client est relie a un multiplexeur numerique de lignes 
de clients qui est lui-meme connecte a un concentrateur de sessions PPP. PPP est 
15 Pacronyme de « Point to Point Protocol », une session PPP est une session etablie 
selon un protocole point a point. Un concenttateur de sessions PPP est classiquement 



appele un BAS^ acronyme de Broadband Access Server. Un concentrateiir de sessions 
PPP achemine les sessions etablies par les differents clients du r6seau vers le point de 
presence du foumisseur de services auquel ils sont abonnes. 

Lorsqn'vm nouveau client desire s'abonner a des services proposes par un 
foumisseur de services de type DSL, un canal virtuel ATM YC est ot66 par un 
operateur entre le modem DSL du nouveau client et le serveur BAS, Les canaux 
virtuels des clients abonnes au meme foumisseur de services sont groupes dans des 
chemins virtuels ou VP entre les dtff^rents multiplexenrs num^riques de lignes de 
clients et le concentrateur de sessions PPP. 

Lorsque le client desire que son abonnement soit cree, modifie ou supprime, il 
est souvent necessaire de modifier le chemin virtuel empimite ou devant etre emprunte 
par le canal virtuel du client. Pour cela il est necessaire de faire appel k des 
interventions humaines pour redimensionner le chemin virtuel entre le multiplexeur 
numdrique de ligne de clients auquel est relie le client et le concentrateur de sessions 
PPP. Ainsi* il est souvent necessaire de supprimer le chemin virtiiel existant entre le 
multiplexeur mimerique de ligne de clients auquel est relie le client et le concentrateur 
de sessions PPP pour recreer un nouveau chemin virtuel. Ceci provoque, pour tons les 
clients relics au concentrateui" de sessions PPP, une interruption de la foumiture des 
services proposes par le foumisseur de services. Une telle interruption penalise ainsi 
tous les clients relies au concentrateur de sessions PPP. 

Sont connus les r&eaux de type GigaEthemet qui offrent une bande passante 
tr^s importante pour la transmission d'informations. Ces systemes utilisent des 
protocoles d* accreditation pour Pacers un r^seau comme par exemple le protocole 
tel que d6fini dans la norme IEEE 802. Ix. Ce protocole n^cessite que le client qui 
desire se connecter au r6seau dispose d'un logiciel compatible avec le protocole 
utilise, Ce type de protocole d'accreditation est confu pour les reseaux locaux 
d'entreprises ou des groupes de clients predefinis mais n'a pas ete envisage dans des 
reseaux de telecommunications pennettant Tacces a Internet par Tintennediaire de 
connexion de type DSL k une multitude clients disposant d'^quipements et de 
logiciels varies. 

L'invention a pour but de resoudre les inconvenients de Tart anterieur en 
proposant un pi-ocede et un syst6me d'accreditatton d*un client pour Pacces k un 
reseau virtuel permettant au client d*acceder k des services foumis par des 
tbumisseurs de sei-vices dans lequel une intervention humaine n'est pas requise au 



niveau du reseau de telecommunication. De plus T invention vise a garantir aux clients 
que les services foumis par les foumisseurs de services auxquels lis sont abonnes ne 
sclent pas interrompus lorsque qu'un. nouveau client s'abonne ou modifie son 
abonnemeiit au mSme foumisseur de services auqiiel ils sont aboimes. De plus 
rinvention vise a pexmettre k des clients disposetut d'equipements et de logiciels 
varies de pouvoir s'abonner a un foumisseur de service de maniere automatique et 
cela metne si ceux-ci ne disposent pas de logiciels compatibles avec le logiciel 
d*authentification utilise dans le r6seau de telecommunication. 

A cette fin^ selon un premier aspect, Finvention propose un proc^de 
d'accreditation d'^un client pour Tacces a au moins un reseau virtuel permettant au 
client d^acc^der aux services d'au moins un tbumisseur de services, le ou chaque 
reseau virtuel 6tant etabli sur un reseau de t6Mcommunication, caracteris6 en ce que'il 
comporte les etapes de determination de la compalibilite du client avec un protocole 
d'authentification predetermine pour Faeces au reseau virtuel, d^autorisation de 
transfert, si le client n'est pas compatible avec le protocole d*authentification 
predetermine^ de domiees entre le client et au moins un systeme d'abonnement du 
client a au moins un foumisseur de services par rintennediaire d^'un reseau 
d'^accreditation different du ou de chaque reseau virtuel permettant k un client 
d'acceder aux services du ou de chaque foumisseur de services et de transfeit au 
client, si le client s'abonne a au moins un foumisseur de services, d'uiie accreditation 
pour acceder au reseau virtuel permettant d'acceder aux services du foumisseur de 
services auquel le client est abomie et d'infomiations permettant de rendre compatible 
le client avec le protocole d'autJtentification predetermine. 

Correlativement, Tinvention conceme un systeme d'accreditation d'un client 
pour I'accds a au moins un reseau virtuel pemiettant au client d" acceder aux services 
d*au moins un foumisseur de services, le ou chaque reseau virtuel 6tant Etabli sur un 
reseau de telecommunication, caracterise en ce qu*il comporte des moyens de 
determination de la compatibilite du client avec un protocole d*authentification 
predetermine pour Faeces au reseau de telecommunication, des moyens d*autorisation 
de transfeit, st le client n'est pas compatible avec le protocole d'authentification 
predetermine, de donnees entre le client et au moins un systeme d'abonnement du 
client a au moins un foumisseur de services par Fintermediaire d'un reseau different 
des reseaux virtuels permettant k un client d^acc^der aux sei*vices d'un foumisseur de 
services et des moyens de timisfert au client, si .le client s''abonnc a au moins un 



foumisseiir de services^ d'une accreditation pour acceder au reseau virtuel permettant 
d'acc6der aux services du fomnisseur de services auquel le client est abonne at 
d' informations permettant de rendre compatible le client avec le protocole 
d' authentification predetermine, 

Ainsi, les clients disposant d'6quipements et de logiciels varies peuvent acc€der 
k un ou plusieurs r6seaux virtuels pour s'^abonner ^ un foumisseur de service de 
maniere automatique et cela meme si ceux-ci ne disposent pas de logiciels 
compatibles avec le mdcanisme d*authentification utilise dans le reseau de 
telecommunication. 

Selon im autre aspect de Tirtvention, le reseau d' accreditation est un reseau 
virtuel ou un reseau distinct du reseau de telecommunication. 

Selon un autre aspect de Tinvention, le systeme d'abonnement est constitue d'au 
moins un portail d'aboimement, d*un serveur de materiel d'authcntijScation et lorsque 
le client s' abonne a un service^ le portail d'abonnement transfere a un serveuor 
d'authentification des donnees associees ^ T accreditation transferee a\i client. 

Selon un autre aspect de Tinvention, le client est relie au reseau pai' 
rintermediaire d'un multiplexeur nmnerique de lignes de clients et si le client est 
compatible avec le protocole d^authentification predetermine, le multiplexeur 
nimierique de lignes de clients obtient un identifiant et un materiel d'authentification 
du client ainsi qu'une confirmation de Taccreditation du client par le serveur 
d'autlientification. 

AJnsi, il est possible de verifier si un client est autoiis6 ou non ^ acceder a un 
foumisseur de services et d'eviter ainsi tout acc6s a des services non autoris^s au 
client. 

Selon un autre aspect de Tinvention, si le servem- d'authenttfication ne confirme 
pas raccreditation du client, on autorise le transfert de donndes entre le client et au 
moins un systdme d^abonnement du client a au moins un foumisseur de services par 
rintermediaire d'un reseau d' accreditation different des reseaux virtuels permettant a 
un client d'acceder aux services d'au moins un foumisseur de services. 

Ainsi, un client ne disposant pas d'un materiel d' authentification valide peut 
neanmoins acceder a un systeme d'abonnement en vue d'obtenir un materiel 
d'authentification valide, 

Selon un autre aspect de Tinvention, des informations associees au foumisseur 
de services auquel le client est abonne et/ou des infomiations sur le ou les debits de 
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communication auquel le client est abonne sont aussi transferees au serveur 
d'authentification. 

Ainsi, toutes las informations necessaires a la determination des services 
auxquels le client pent acceder ainsi que le ou les debits choisis par le client lors de 
5 son abonnement sont memorises en ua unique serveur- II est alors possible de 
cat^goriser les offres ofifertes par les foumisseurs de services et de garantir que ces 
offres soient respect6cs. De plus, lorsque des confirmations d*accreditation sont 
envoyees au serveat d'accreditation, celui~ci peut en meme temps foumir d'autres 
informations necessaires a la definition des droits du client. 
10 Selon un autre aspect de Tinvention, le multiplexeur numerique de lignes de 

clients autorise le traD$fert de donnees entre le reseau virtue! permettant au client 
d'acceder aux services du founiisseur de services auquel le client est abonn^ selon le 
ou les debits de communication auquel le client est abonne. 

Ainsi, toute modification des debits de coramumcation alloues au client est 
1 5 effectuee de maniere automatique. 

Selon un autre aspect de Tinvention, au rieseau virtuel d' accreditation est aussi 
associe un servem- d*adxesses et le serveur d'^adresses alloue une adresse au client poxjir 
le transfert de donnees sur le reseau virtuel d' accreditation. 

Ainsi, le client peut obtenir une adresse dans le reseau de telecoimnunication lui 
20 permettant ensuite de s*abonner aux services foumis par un foumissetir de services, 

Selon im autre aspect de Tinvention, le reseau de telecommunication est un 
reseau de type Giga Ethernet © et le protocole d'authentification predetermine est im 
protocole de type IEEE 802. Ix et les clients sont relies au multiplexeur numerique de 
lignes de clients par I'intermediaire de liaisons de type DSLv 
25 L^invention conceme aussi les programmes d*ordinateurs stockes sur un support 

d'intbi-mations, lesdits programmes comportant des instmctions pennettant de mettre 
en oeuvre le procede d' accreditation piecedemment decrit, lorsqu'il est charge et 
execute par \m systeme infonnatique. 

Les caracteristiques de Tinveution mentionnees ci-dessus, ainsi que d'autres, 
30 apparaitront plus clairement a la lecture de la description suivante d'un exemple de 
realisation, ladite description etant faite en relation avec les dessins joints, parmi 
lesquels: 
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la Fig. 1 represente Tarchitecture du systeme d' accreditation d*un client pour 
Tacces a un reseau de telecommunication permettant au client d*acceder k des 
services foiirnis par des foumisseurs de services ; 

la Fig. 2 represente un schema bloc du multiplexeur numerique de lignes de 
5 clients de la presente invention ; 

la Fig. 3 represente ralgorithme d*accr6ditation d*iui client pour Taccds k un 
reseau de telecommunication permettant au client d'acceder a des sexvices foumis 
par des foumisseurs de services. 

10 La Fig. 1 represente I'architecture du systeme d' accreditation d^'un client pour 

i'acces a un reseau de telecommunication permettant au client d^acceder a des services 
foumis par des foumisseurs de services. 

Le systeme d* accreditation d'un client a un reseau de t^l^communicatioii: 
comprend un multiplexeur numerique de lignes de clients 100, Le mtdtiplexeur 

15 numerique de lignes de clients 100 est dans un mode pref6re un multiplexeur 
numerique de lignes de clients adapte a des liaisons point a point avec des clients 110 
111 et 112. Lorsque les liaisons sont de type DSL, le multiplexeur numdrique de 
lignes de clients 100 est connu sous ie tenne DSLAM. DSL AM est Tacronyme de 
« Digital Subscriber Line Access Multiplexor ». 

20 Le multiplexeur numerique de lignes de clients 100 a pour fonction de regrouper 

plusieurs lignes de clients 110> 111 et 112 sur un support physique qui assure le 
transport des donn6es echangees entre les clients 110, 111 et 112 et des foumisseurs 
de services 130 et 13L Un client est par exemple un dispositif de telecommunication 
tel qu*iin ordinateur comprenant une carte de communication adaptee a la liaison 

25 existant avec le multiplexeur numerique de lignes de clients 100 ou im ordinateur relie 
a un dispositif de communication exteme adaptee a la liaison existant avec le 
multiplexeur numerique de lignes de clients 100. 

Les clients 110, 111 et 112 sont plus precis^ment des temiinaux de 
teiecommimication et sont relies au multiplexeur numerique de lignes de clients 100 

30 par Tintermediaire du reseau t61ephomque filaire et utilisent les techniques de 
modulation de type DSL* Bien entendu d'autfes types de liaisons point a point peuvent 
Stre utilis6es. Par exemple et de maniSre non limitative, ces liaisons peuvent Stre aussi 
des liaisons sans fils ou des liaisons par fibres optiques. Le multiplexeur numerique de 
lignes de clients 100 autorise Tacces aux services proposes par les foumisseurs de 
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services 130 et 131 par exemple aux clients 111 et 112 si ceux-ci sont compatibles 
avec un protocole d'authentification tel que pax exemple le protocole IEEE 802. Ix et 
si renregistrement de ceux-cd a &6 valid6 par ua serveur d'authentification 141 
associe k leur foumisseur de services 130 ou 131. Pour cela, le miUtiplexeur 
5 nurn6rique de lignes de clients 100 com^prend un module logiciel client qui emet des 
requites d'authentification k un serveiir 141 lorsqu'un client 110, 111 ou 112 desire 
acc6der aux services proposes par un foimiisseur de services relie au reseau 150, Le 
module logiciel client est preferentiellement un module logiciel client RADIUS c'est- 
a-dire conforme au protocole RADIUS et le serveur 141 est preferentiellement un 

10 serveur d'authentification de type RADIUS lul aussi confoime au protocole RADIUS. 
RADIUS est i'acronyme de « Remote Authentification Dial In User Service »• II est a 
remarquer ici que d'autres types de protocole d' authentification peuvent Stre utilises 
dans la presente invention. Ces protocoles sont par exemple et de maniere non 
limitative de type « Diameter »© ou de type « TACACS » acronyme de « Terminal 

15 Access Controller Access Control System » ou protocole d"authentification utilisant un 
serveur d^authentification. 

Le multiplexeur numerique de lignes de clients 100 autorise, a un client tel que 
le client 1 10, Tacces a un systeme d'abonnement a un fotimisseur de services 130 ou 
.131 lorsque que le client 110 ne dispose pas d'un logiciel compatible avec le protocole 

20 d'authentification tel que par exemple le protocole IEEE 802. Ix. Le multiplexeur 
numerique de lignes de clients 100^ lorsqu*uti client n'est pas compatible avec le 
protocole d'authentification et lorsque Tenregistrement du client a 6t6 valide par le 
serveur d'authentification 141 associe a un foumisseur de services 130 ou 131, 
transfSre k ce client les donnees lui permettant de se rendre compatible avec le 

25 protocole d'authentification. 

Dans le protocole IEEE 802. Ix, trois elemej-fcts composent rarchitecture 
d'authentification. Le « supplicant » est Telement qui tente d^acceder au reseau en y 
demandant un acces. « L'a^^thent^cator » est P^lement qui assure le relais des 
informations li^es a i' authentification du « supplicant » vers le coatroleur 

30 d' identification ou « authentication sei-ver)). Le controleur d' identification est 
Telement qui valide Faeces du « supplicant » au r6seau. Les informations sont 
6changees entre « Tauthenticator » et « T authentication server » conformement au 
protocole EAP, acronyme de « Extensible Authentication Protocol » ou protocole 
d'authentification extensible. Les informations echangees entre le « supplicant » et 
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« l*authenticator » sont confonnes au protocole EAPOL, acronyme de « EAP Over 
Lan», Le « supplicant)) est par exemple le client 111, « Fauthenticator » est le 
multiplexeur numerique de lignes de clients 100 et « I' authentication seiver » est le 
serveur d'authentification RADIUS 141 de la Fig. 1 
5 Le multiplexeui- numerique de lignes de clients 100 est relie aux fournisseurs de 

services 130 et 131 par rintermediaire de points de pii6sence PoP non repr6sent6s en 
Fig. L Les fournisseurs de services 130 et 131 offrent difS&rents services k leuxs 
abonnes respectifs. Ces services sont par exemple et de manieie non limitative des 
services d'acces a Internet, etc, des services de vid^o k ia demande, des services de 

10 counier electronique, des services de telephonie sur le reseau Internet, des services de 
visioconference sur Internet Le multiplexeur numerique de lignes de clients 100 est 
aussi relie k vox serveur DHCP 140, a un serveur d^authentification RADIUS 141 et a 
un serveur de materiel d'authentification 142 par Tinterrnddiaire d'un reseau de 
telecommunication 150. Le reseau de telecommunication 150 est par exemple un 

15 reseau de type GigaEthemet. Des r^seaux virtuels sont etablis sur le reseau de 
telecommunication 150 entre le multiplexeur numdrique de lignes de clients 100 et 
chaque fom-nisseur de services 130 et 131. Un reseau, distinct des reseaux virtuels 
precedemment mentionn^s est aussi etabli pour I'acces au systdme d'abonnement a xm 
foumisseur de services par un client qui n'est pas compatible avec le protocole IEEE 

20 802.1X. Le reseau etabli dans le reseau de telecommunication 150 pour Tacces au 
systeme d'abonnement a un foumisseur de semces par un client qui n'est pas 
compatible avec le protocole IEEE 802. Ix est un reseau physique distinct du reseau de 
telecommunication 1 50 ou un reseau virtuel etabli sur le reseau de telecommunication 
150. Les reseaux virtuels ou VLAN, acronyme de « Virtual Local Area Network » 

25 permettent de categoriser les clients et ainsi de limiter les ressomtses auxquelles ils ont 
acces. Par exemple, si le client 111 est client du foumisseur de services 130, les 
echanges entre le client 111 et le foumisseur de services 130 sont efifectu6s par 
Tintemiediaire du VLAN symbolise par les liaisons not^es 162 en Fig. L Le client 
1 1 1 par centre ne pent acc^der aux services proposes par le foimiisseur de services 

30 13 1 car celui-ci est associe a un autre VLAN note 163 different du VLAN 162. 

Le serveur DHCP 140 distribue des adresses IP aux clients, par exemple au 
client 1 10 lorsqu^il souhaite s*abonner aux services proposes par undes fournisseurs 
de sex-vices ]30 ou 131. DHCP est Tacronyme de « Dynamic Host Configuration 



Fax re9u de : 0299464188 



9 



Protocol ». II est a remarquer ici que le serveur DHCP pent en variante distribuer des 
adresses de type IPv6 lorsque ce protocole est utilise. 

Le serveur d'authentification 141 est le serveur d'authentilication ou 
« authentication server » selon le protocole IEEE 802. Ix et est dans un mode pr^fere 
5 de realisation conforme au protocole RADIUS. Le serveur d'authentification RADIUS 
141 authentifie un client, par exemple le client 111 aupres du multiplexeur numerique 
de ligncs de clients 100 lorsque le client 1 1 1 d6sire acceder au foumisseur de services 
130. Cette authentification est effectuee a partir de ridentifiant du client tel que son 
nom d'utilisateiur et la foumiture par le client d'un mot de passe ou d'un materiel 

10 d'authentification authentifie par le serveur d'authentification 14L A la reception de 
cette confirmation, le multiplexeur numerique de lignes de clients 100 autorise le 
transfert de donnees entre le client 111 et le foumisseur de services 130 par 
Tinterm^diaire du r^seau virtuel 162 si le client 111 s*est prealablement abonne aux 
services proposes par le foumisseur de services 130. De la meme fapon, le serveur 

15 d'autlientification RADIUS 141 authentifie le client 112 aupfe$ du multiplexem- 
numdrique de lignes de clients 100 lorsque le client 1 12 desire acceder au foumisseur 
de services 13 L A la reception de cette confimiation, le multiplexeur numerique de 
lignes de clients 100 autorise le transfert de donnees entre le client 112 et le 
foumisseur de services 131 par Tintermediaire du reseau virtuel 163 si le client 112 

20 s'est prealablement abonne aux services proposes par le foumisseur de services 131. 

Un reseau virtuel note 161 est aussi dedie au transport des donnees 
d'authentification entre le multiplexeur numerique de lignes de clients 100 et le 
sei^eur d'authentification RADIUS 141 . 

Le serveur d*authentification RADIUS 141 comporte aussi les attributs associ6s 

25 aux clients reli6s au multiplexeur numerique de lignes de clients 100* Ces attributs 
sont par exemple, le ou les r6seaux virtuels auxquels le client 11 0» 111 ou 112 ale 
droit d' acceder ainsi que d'autres informations telles que par exemple le d6bit de 
transfert de donnees souscrit par le client ou le ou les fouxtiisseurs de services 
auxquels le client est abomie, le type d' applications hebergees par le client, etc. Au 

30 serveur d*authentification RADIUS 141 est associee une base de donnees clients qui 
memorise tons les clients pouvant acceder aux services proposes par les differents 
fournisseurs de services 130 et 131 relies au reseau 150, les attributs constituant le 
profit d'un client 1 10, 1 1 1 ou 1 12, ainsi qu'un identifiant de chaque client 1 10, 1 1 1 ou 
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112. A cet identifiant est associe un mot de passe ou un materiel d'authentification 
delivre par wx serveur de materiel d'authentification 142. 

Dans mi mode particulier de idealisation, le serveur de materiel d'authentification 
142 assure en outre ia fonction de portail d'abonnement et lorsqu'un client accdde a ce 
5 portail, le client 110 peut s^abonner a un service propose par un des foumisseurs de 
services 130 ou 131 associ^s aur6seau* 

Lorsqu'^un client, par exemple le client 110, ne dispose pas d*un logiclel 
compatible avec le protocole d'authentijScation tel que par exemple le protocole IEEE 
802. IX;, celui-ci est autorise h acceder au reseau d'accreditation 160* Le r^seau 

10 d'accreditation 160 est par exemple im reseau virtuel 160. Au reseau virtuel 160 sont 
relies un serveur DHCP 140 et un servem* de materiel d'authentification 142. Par 
rintermediaire du serveur DHCP 140, le client 110 qui ne dispose pas de logiciel 
compatible avec le protocole IEEE 802.x obtient une adresse et peut ainsi etablir une 
communication avec le serveur de materiel d'authentification 142 et s'abormer aux 

1 5 services proposes par un ou plusieurs foumisseurs de services 1 30 et/ou 1 3 L 

II est ^ remarquer ici que le serveur d'autfaentification RADIUS 141, accessible 
par I'intermediaire du r6seau virtuel 161, peut aussi etre en variante un proxy serveur 
d*authentification RADIUS qui redirige les informations transf6r6es vers des serveurs 
d*authentification RADIUS non reprfisentes en Fig. 1 associes h chaque fouraisseur de 

20 services 130 et 131. Selon cette variante, chaque serveur d'authentification Radius 
associe a chaque fo\miisseur 130 et 131 de services memorise tons les clients pouvant 
acceder aux services proposes par le foumisseur de services auquei il est associe ainsi 
que les attributs constituant le profil d'un client, Tidentifiant de chaque client et le mot 
de passe ou le materiel d'authentijacation delivre par le serveur de materiel 

25 d'authentification 142. 

II est a remarquer aussi que le servem* DHCP 140 accessible par rintermediaire 
du reseau virtuel 161 peut aussi Stre en variante un serveur relais ou « proxy » DHCP 
qui redirige les informations transfiSrees vers des serveurs DHCP (non repr6sent6s en 
Fig. 1) associes h chaque foumisseur de services 130 et 13L 

30 Un proxy est un equipement qui ref oit des informations d'un premier dispositif 

de t^Mcommunication et transfere celles-ci vers un second dispositif de 
telecommunication, et reciproquement qui refoit des informations du second dispositif 
de telecommunication et transfere celles-ci vers le premier dispositif de 
telecommunication. 
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La Fig» 2 represente schema bloc du multiplexeur mamerique de ligties de 
clients de la presente invention. 

Le multiplexeiir numerique de lignes de clients 100 comporte un bus de 
communication 201 auquel sont reliees une iinit6 centrale 200> une memoire non 
5 volatile 202, une m6moire vive 203> une interface clients 205 et une interface reseau 
206. 

La memoire non volatile 202 memorise les programmes mettant en oeuvre 
rinvention tel que le module logiciel RADIUS client et au moins une partie de 
Talgorithme qui sera decrit ulterieurement en reference a la Fig. 3. La memoire non 
10 volatile 302 est par exemple un disque dur. De maniere plus generale, les programmes 
selon la presente invention sont memorises dans un moyen de stockage. Ce moyen de 
stockage est lisible par un ordinateur ou un microprocesseur 200. Ce moyen de 
. stockage est integre ou non au multiplexeur numerique de lignes de clients 100/et 
pent etre amovible. Lors de la mise sous tension du multiplexeur numerique de lignes 
15 de clients 100, les programmes sont transf6r& dans la memoire vive 203 qui contient 
alors le code executable de Tinvention ainsi que les domiees n6cessaires a la mise en 
ceuvre de T invention, 

Le multiplexem* numerique de lignes de clients 100 comporte aussi une 
interface reseau de telecommunication 206. Cette interface permet les transferts de 
20 donnees entre les foumisseurs de services 130 et 131 et/ou le serveur DHCP 140 
et/ou le serveur d'authentification RADIUS 141 et/ou le serveur de materiel 
d*authentification 142. 

Le multiplexeur numerique de lignes de clients 100 comporte aussi une 
interface clients 205, Cette interface est dans un mode prefere de realisation une 
25 interface de type DSL. L'iuterface clients 205 comporte pour chaque client 110, 111 
et 112 un port dedie aux communications point a point entre le multiplexeur 
nxmi^rique de lignes de clients 100 et le client connecte a ce port. 

Le processeur 200 est apte a autoriser ou non le transfert de donnees entie 
rinterface reseau de telecommunication 206 et chaque port de Tinteiface clients 205 
30 relie a un client en fonction de 1' accreditation du client. 

Selon le mode prefere de realisation la liaison enti'e le multiplexeur numerique 
de lignes de clients 100 et chaque client 110, 111 et 112 est une liaison filaire 
utilisant la ligne telephonique respective des clients 110, 111, 112. Bien entendu. 



d'autrCvS liaisons telles que des liaisons de type coaxiales, radio ou par fibres optiques 
peuvent etre aussi utilis6es en variante. 

La Fig* 3 represente ralgorithme d'accreditation d'un client pour Tacces a im 
reseau de telecommunication permettant au client d'acceder h des services foumis 
par des foumisseurs de services. 

A Tetape E300, le processeur 200 du multiplexeur numerique de lignes de 
clients 100 d^tecte une demande de connexion d'un client au reseau de 
telecommunication pennettant au client d'acceder a des sei-vices foumis par des 
foumisseurs de services. A cette etape le processeur 200 v^rifie si le client est 
compatible avec le protocole d'authentification tel que par exemple le protocole 
IEEE 802. Ix. Ceci est par exemple determine en verifiant si les informations 
transmises par le client 1 10 sont conformes au protocole EAPOL. Dans raffirmative, 
le processeur 200 passe a Tetape E308- Dans la negative, le processeur 200 passe a 
r^tapeESOK 

A Tetape E301, le processeur 200 ayant determine que le client n'est pas 
compatible avec le protocole IEEE 802 J x considere celui«ci comme un nouveau 
client et autorise le nouveau client, par exemple le client 110 i acceder a un reseau 
virtuel pr^d^ermin^. A ce r6seau virtuel ou VLAN not6 160 en Fig, 1> est relie un 
systeme d*abonnement. Ce systeme d*abonnement comprend un serveur DHCP 140 
ainsi qu'un serveur de materiel d*authentification 142. Le client 1 10 peut alors etablir 
des communications avec le serveur DHCP 140 ainsi que ie serveur. de materiel 
d'authentification 142, Ce reseau virtuel 160 est d6di6 aux clients qui ne disposent 
pas de la fonctionnalite 802. Ix. 

Cette operation effectu6e, le client 110 demande a Tetape E302 \me adresse 
telle que par exemple une adresse IP au serveur DHCP 140 par Tintermediaire du 
multiplexeur numerique de lignes de clients 100 et du reseau virtuel 160. 

Cette adresse IP est transferee au client 1 10 al'^tape E303. 

A la reception de cette adresse IP, le client 110 lance a Tetape E304 une session 
de navigation a Taide d'un navigatetir du teiminal de telecommunication et une 
connexion est etablie avec un portail d'abonnement Le portail d*abonnement est 
pr^ferablement integre au serveur de materiel d^authentification 142. Bien entendu, 
le portail d'abonnement peut etre distinct du serveur de matariel d'authentification 
142 mais doit dans ce cas etre lui-aussi relie au reseau virtuel 160. Lorsque chaque 
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foumisseur de services 130 ou 131 dispose d'un poitail d'aboiinement, chaque portail 
d'abonnement doit alors etre reli6 au reseau virtue] 160. 

A Petape E305» le client 110 souscrit a un service propose par un des 
foumisseurs de sei-vices 130 ou 13L Le client 110 selectionne le foumisseur de 
5 services ainsi que le debit quMl souhaite avoir. De manidie g^n^rale, le client 110 
choisit parmi im ensemble de services proposes par le foiimisseur de services 
selectionn€, le ou les services dont il souhaite disposer. 

A I'etape suivante E306, un enregi^U^ement du client 110 est effectue. Cet 
eiiregistrement consiste en une tnise a joiu* de la base de dormees client comprise 

10 dans le serveur d'authentification RADIUS 141 par le serveur de materiel 
d'authentification 142 comprenant le portail d'abonnement. Sont alors memorises un 
identifiant du client 1 10 associ6 a un mot de passe ou a un materiel d'authentification 
tel qu'un certificate le foumisseur de services auquel le client 110 a souscrit ainsi que 
le ou les reseaux virtuels comprenant le foiimissem- de services. Si par exemple le 

15 client 110 a souscrit un abonnement au foumisseur de services 130, celui-ci sera 
alors autorise h acceder au reseau virtuel 162 comme tous les clients du foumisseur 
de services 130. A cette ^tape, sont aussi transferes au client 1 10 un identifiant et un 
mot de passe ou im materiel d'authentification ainsi que les informations permettant 
de rendre le client 110 compatible avec le protocole 802. Ix. Ces infonnations sont 

20 par exemple ime commaiide pour T activation du logiciel 802. Ix « supplicant » 
lorsque celui-ci est deja present dans le dispositif de communication du client 1 10 ou 
un message visuel et/ou sonore d' invitation du client 110 a activer le logiciel 802,1 x 
ou le dechargement du logiciel 802. Ix « supplicant » ainsi que son installation dans 
le dispositif de communication du client 110. 

25 Cette operation effectu^e, le processeur 200 retoume k Tetape E300. Le 

processeur 200 detecte une nouvelle demande de connexion du client 1 10 au reseau 
de telecommunication permettant au client d"* acceder a des services foumis par des 
foumisseurs de services. 

A cette etape le processeur 200 verifie si le client est compatible avec le 

30 protocole d*authentification tel que par exemple le protocole IEEE 802. Ix. Le client 
no etant devenu compatible a Tdtape E306 precedents le processeur 200 passe a 
retapeE308. 

A cette etape, une verification de T accreditation dxi client est effectuee. Pour 
cela le multiplexeur numerique de lignes de clients 100 re9oit du dispositif de 
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communication du client 110 un identifiant et un mot de passe ou un materiel 
d'authentification. 

Le processeur 200 du muitiplexeur numdrique de lignes de clients 100 
commande le transfert d'me requete de confirmation d'enregislrement k destination 
5 du serveur d'authentification RADIUS 141 par rinterm^diaire du r^seau virtuel 161 . 
Le serveur d'authentification RADIUS 141 lecherche dans la base de donnees des 
clients si le client 110 est comqsris dans la base de donnees dcs clients et teansf^e 
dans I'affirmative au muitiplexeur mimerique de lignes de clients 100 une 
confirmation de Fenregistrement du client 110 ainsi que des infonnations telles que 
10 le r6seau virtuel auquel I'acces du client 1 1 0 est autorise, le debit devant %tre alloue 
au client 1 1 0 ainsi que le profil associe au client 110. 

A I'etape suivante E309, le processeur 200 du muitiplexeur num^rique de lignes 
de clients 100 autorise I'acc^s au rdseau virtuel auquel I'acces du client 110 est 
autorise et ceia au d^bit devant eti^.aUoue h celui-ci. II est a remarquer ici que si 
15 I'enregistrement du client 1 10 n'est pas confinnd, le processeur 200 du muitiplexeur 
numdrique de Ugnes de cHents 100 autorise le transfert de donnees entre le client 110 
et au moins un syst^me d'abonnement du client k au moins un foumisseur de services 
par r intermediaire du r^seau d'accrcditation 1 60- 

A I'etape suivante E3 1 0, si le client 1 10 ne dispose pas d'une adresse IP allouae 
20 prealablement par le foumisseur de services auquel il est abonne, une adresse IP 
pertnettant au client 110 d'acc^der au service souscrit est allouee par un serveur 
DHCP associe au foumisseur de sei-vices auquel a souscrit le client 1 1 0. 

Le client 1 10 peut ainsi acceder a des services foumis par le foumisseur de 
services 130 ou 13 1 auquel il est abonne. 
25 Bien entendu, la pr^nte invention n'est nullement limitee aux modes de 

r6alisation d^crits ici, mais englobe, bien au contraire. toute variante a la portee de 
Thomme du mdtier. 
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REVENDICATIONS 



1) Precede d' accreditation d'un client (110, 111, 1 12) pour Faeces a au moins 
un r6seau virtacl (162, 163) peiinettant au client d'acceder aux services d'au moins un 
foumisseur de services (130, 131), le ou chaque reseau virtual etant 6tabli sur un 
r6seau de telecommunication (150), caracterise en ce que le precede comporte las 
5 etapes de : 

- detennination de la compatibilite (E300) du client avec un protocole 
d'authentification predetennine pour I'acces au reseau virtuel, 

- si le client n'est pas compatible avec le protocole d'authentification 
predetermine, autorisation (E301) de transfert de donnees entre le client et au moins 

10 un systeme d'abonnement (140, 142) du client a au moins un foumisseur de services 
par rintermediaire d'un reseau d'accr^ditation (160) different du ou de chaque reseau 
virtuel (162, 163) pemiettant k un client d'acc6der aux services du ou de chaque 
foumisseur de services, 

- si le client s'abonne k au moins un foumisseur de services, transfert (E306) au 
15 client d'une accreditation pour acc^der au reseau virtuel perraettant d'acceder aux 

services du foumissexir de services auquel le client est abonne et d' informations 
pemiettant de rendre compatible le client avec le protocole d*authenlification 
predetermine. 

20 2) Precede selon la revendication 1, caracterise en ce que le reseau 

d' accreditation est un reseau virtuel ou un reseau distinct du reseau de 
telecommunication. 

3) Proced^ selon la revendication 1 ou 2, caracterise en ce que le systeme 
25 d'abomiement est constitue d'au moins un portail d'abonnement (140), d'un secveur 
de materiel d'authentification (140) et lorsque le client s'abonne a un service, le 
portail d'abonnement transfere a un serveur d'authentification (141) des donnees 
associees a I'accreditation transieree au client. 

30 4) Precede selon la revendication 3, caracterise en ce que le client est relie au 

reseau par rinteraiediaire d'un multiplexeur numerique de lignes de clients et si le 
client est compatible avec le protocole d'authentification predetermine, le 
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multiplexeur numerique de lignes de clients effectue les etapes d'obtention d'un 
identifiant et d'uix materiel d'authentification du client et d'obtention d'une 
confirmation de Taccreditation du client par le serveur d'authentification. 

5 5) Proc6d6 selon la revendicatioa 4, caracterise en ce que si le serveur 

d'authentification ne confirme pas Taccreditation du client, le procMe comporte ime 
etape d'autorisation de transfert de doiin6es entre le client et au moins un syst&ne 
d'abonnement du client a au moins un fbumisseur de services par rinterm^diaire d*un 
reseau d'accr^ditation different des reseaux virtuels pennettant a un client d'acceder 
10 aux services d'au jnoins un foumisseur de services. 

6) Procede selon la revendication 3 ou 4, caract6ris6 en ce que des informations 
associees au foumisseur de services auquel le client est abonn6 et/ou des informations 
sur le ou les debits de communication auquel le client est abonne sent aussi transfer6es 

15 au serveur d'authentification. 

7) Procede selon la revendication 6, caract6ris6 en ce que le serveur 
d'accraditation transfere en outre au multiplexeur num^rique de lignes de clients les 
informations associees au foumisseur de services auquel le client est client et/ou les 

20 informations sur le ou les debits de communication auquel le client est abonne. 

8) Procede selon la revendication 7, caracterise en ce que le multiplexeur 
numerique de lignes de clients autorise le transfeit de donnees entre le reseau virtuel 
pennettant au client d'acceder aux services du foumisseur de services auquel le client 

25 est abound seion le ou les debits de communication auquel ie client est abonne. 

9) Procede selon Tune quelconque des revendications 1 k 8, caract6ris6 en ce 
qu'au reseau virtuel d' accreditation est aussi associe un serveur d'adresses et en ce 
que le servew d'adresses alloue une adresse au client pour le transfert de donndes sur 

30 le reseau virtuel d'accreditation. 



10) Proc6de selon I'une quelconque des revendications 1 a 9, caracteris6 en ce 
que le reseau de telecommunication est un reseau de type Giga Ethernet et en ce que le 
protocole d'authentification pr^detennine est un protocole de type IEEE 802.1x et en 
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ce que les clients sont relies au multiplexeur num^rique de lignes de clients par 
rinterm^diaire de liaisons de type DSL. 

11) Systeme d'accreditation d'lin client poiur Tacces a au moins un xeseau 
5 virtuel permettant au client d*acceder aiix services d'au moins un foumisseur de 

services, le ou chaque reseau virtuel 6tant etabli sur un reseau de tel^comintinication, 
caracterise en ce que le systeme comporte: 

- des moyens de deteiinination de la ccmpatibilite du client avec un protocole 
d'authentification predetermine poui* Tacces au reseau de telecommunication, 

10 - des moyens d^autorisation de transfeit, si le client n'est pas compatible avec le 

protocole d'authentification prddetermine^ de donnees entre le client et au moins un 
systeme d'abonnement du client a au moins un foumisseur de services par 
rintermediaire d'un reseau diff6rent des r6seaux virtuels permettant a un client 
d'acceder aux services d'un foumisseur de services, 

15 - des moyens de transfert au client, si le client s^abonne a au moins un 

foumisseur de services, d'une accreditation pour acceder au reseau virtuel permettant 
d'acc^der aux services du foumisseur de services auquel le client est abonne et 
d'informations permettant de rendre compatible le client avec le protocole 
d*authentification predetermine. 

20 

12) Programme d'ordinateur stocke sur un support d'infonnations, ledit 
programme comportant des instructions permettant de mettre en oeuvre le proc^de 
d' accreditation selon Tune quelconque des revendications 1 a 10, lorsqu'il est charge 
et execute par un systeme informatique. 



25 



ABREGE 



L'itivention conceme un proc^a et un systtoie d'accr&iitation d'un client (1 10 
1 1 1 . 1 12) pour I'accds d un r^seau virtue! (1 62. 163) permettajit au client d'acceder h 
des services fournis par des foumisseurs de services (130, 131), dans lequel on 
detemine la compatibUite du client avec un protocole d'authentification prdd6termin6 
pour I'accds au r&eau virtuel, si le client n'est pas compatible avec le protocole 
d'authentification predetermine, on autorise le transfert de donn&s entre le client et au 
moins un systeme d'aboimement (140, 142) du client a au moins un foumisseur de 
services et si le client s'abonne k au moins un foumisseur de services, on transfere au 
client une accreditation pour acceder aux services du foumisseitr de services auquel le 
client est abound et d'informations pexmettant de rendre compatible le client avec le 
protocole d'authentification predetermine. 
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